如何创建无密码 SSH 连接

简介

本教程将指导你了解并在 Linux 系统上实现无密码 SSH 认证的过程。你将学习如何生成公私钥对、配置远程服务器以及建立无需密码的安全远程连接。这种方法提供了更高的安全性、更高的效率，并为你的 Linux 基础设施实现自动化场景提供了可能。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/UserandGroupManagementGroup(["User and Group Management"]) linux(("Linux")) -.-> linux/RemoteAccessandNetworkingGroup(["Remote Access and Networking"]) linux/UserandGroupManagementGroup -.-> linux/env("Environment Managing") linux/UserandGroupManagementGroup -.-> linux/set("Shell Setting") linux/UserandGroupManagementGroup -.-> linux/export("Variable Exporting") linux/RemoteAccessandNetworkingGroup -.-> linux/ssh("Secure Connecting") linux/RemoteAccessandNetworkingGroup -.-> linux/scp("Secure Copying") linux/RemoteAccessandNetworkingGroup -.-> linux/sftp("Secure File Transferring") subgraph Lab Skills linux/env -.-> lab-398372{{"如何创建无密码 SSH 连接"}} linux/set -.-> lab-398372{{"如何创建无密码 SSH 连接"}} linux/export -.-> lab-398372{{"如何创建无密码 SSH 连接"}} linux/ssh -.-> lab-398372{{"如何创建无密码 SSH 连接"}} linux/scp -.-> lab-398372{{"如何创建无密码 SSH 连接"}} linux/sftp -.-> lab-398372{{"如何创建无密码 SSH 连接"}} end

理解无密码 SSH 认证

无密码 SSH 认证是一项安全特性，它使你无需每次都输入密码就能访问远程 Linux 系统。这是通过使用公私钥对来实现的，与传统的基于密码的认证相比，它提供了一种更安全、高效的远程访问方式。

在传统的 SSH 连接中，每次连接到远程服务器时都需要输入用户名和密码。使用无密码 SSH，你可以在本地机器和远程服务器之间建立一种信任关系，从而能够使用公私钥对进行认证。

该过程如下：

生成公私钥对：你首先需要在本地机器上生成一个公私钥对。这可以通过在终端中使用 ssh-keygen 命令来完成。

ssh-keygen -t rsa -b 4096

将公钥复制到远程服务器：生成密钥对后，你需要将公钥复制到远程服务器的 authorized_keys 文件中。这可以使用 ssh-copy-id 命令来完成。

ssh-copy-id user@remote_host

测试无密码连接：设置好密钥后，你应该能够无需输入密码就连接到远程服务器。

ssh user@remote_host

无密码 SSH 认证有几个优点，包括：

增强安全性：通过无需密码，降低了暴力攻击和与密码相关的安全漏洞的风险。
提高效率：无密码 SSH 简化了远程访问过程，对用户来说更快、更方便。
支持自动化：无密码 SSH 常用于自动化场景，即脚本和程序需要在无需用户干预的情况下访问远程系统。

总的来说，理解并实现无密码 SSH 认证对于需要安全访问远程系统的 Linux 系统管理员和开发人员来说是一项关键技能。

配置无密码 SSH

要配置无密码 SSH，你需要在本地机器上生成一个公私钥对，然后将公钥复制到远程服务器的 authorized_keys 文件中。下面我们来逐步完成这个过程：

生成公私钥对

在本地机器上打开一个终端，运行以下命令生成一个新的 SSH 密钥对：

ssh-keygen -t rsa -b 4096

这将创建一个 4096 位的 RSA 密钥对，并将其存储在默认位置（私钥为 ~/.ssh/id_rsa，公钥为 ~/.ssh/id_rsa.pub）。

出现提示时，你可以选择为私钥输入一个密码短语，或者留空以进行无密码设置。

将公钥复制到远程服务器

使用 ssh-copy-id 命令将你的公钥复制到远程服务器的 authorized_keys 文件：

ssh-copy-id user@remote_host

将 user@remote_host 替换为远程服务器的适当用户名和主机名或 IP 地址。

出现提示时，输入远程用户的密码。这将是你最后一次需要为这个连接输入密码。

验证无密码 SSH 连接

尝试使用 SSH 无密码连接到远程服务器：

ssh user@remote_host

现在你应该能够无需输入密码登录到远程服务器。

SSH 客户端配置

为了使无密码 SSH 连接更方便，你可以通过编辑 ~/.ssh/config 文件来配置本地 SSH 客户端。在文件中添加以下几行：

Host remote_host
    HostName remote_host
    User user
    IdentityFile ~/.ssh/id_rsa

这样你就可以使用缩短后的命令 ssh remote_host 连接到远程主机。

通过遵循这些步骤，你已成功配置了无密码 SSH 认证，这可以极大地提高远程访问工作流程的效率和安全性。

为自动化实现无密码 SSH

无密码 SSH 认证对于自动化执行各种需要远程系统访问的任务（如备份、部署和系统管理）特别有用。通过消除手动输入密码的需求，你可以简化自动化工作流程，并提高其可靠性和安全性。

自动化 SSH 连接

无密码 SSH 在自动化中的一个常见用例是在无需用户干预的情况下在系统之间建立安全连接。这可以通过利用我们前面讨论的公私钥对设置来实现。以下是一个在 shell 脚本中使用无密码 SSH 的示例：

#!/bin/bash

## 设置远程主机和用户
REMOTE_HOST="remote_host"
REMOTE_USER="user"

## 在远程主机上执行命令
ssh "$REMOTE_USER@$REMOTE_HOST" "hostname"

在这个示例中，由于之前配置的无密码 SSH 连接，脚本将在远程主机上执行 hostname 命令而无需提示输入密码。

将无密码 SSH 集成到自动化工具中

许多自动化工具，如 Ansible、Terraform 和 Jenkins，都支持使用无密码 SSH 进行远程系统访问。通过配置必要的 SSH 密钥，你可以将无密码 SSH 无缝集成到自动化工作流程中，提高其可靠性和安全性。

以下是一个在 Ansible 剧本中使用无密码 SSH 的示例：

- hosts: all
  tasks:
    - name: 在远程主机上执行命令
      ansible.builtin.command:
        cmd: hostname
      become: yes

在这个 Ansible 剧本中，become 指令允许任务在远程主机上以提升的权限执行，而无需密码。

自动化中的 SSH 密钥管理

在为自动化实现无密码 SSH 时，仔细管理 SSH 密钥以维护安全性至关重要。这包括：

为每个自动化系统或用户生成唯一的密钥对。
安全地存储私钥并限制授权人员的访问。
定期审查和更新远程服务器上的 authorized_keys 文件。
实施密钥轮换策略以增强基于 SSH 的自动化的整体安全性。

通过遵循这些最佳实践，你可以确保基于无密码 SSH 的自动化随着时间的推移保持安全可靠。

总结

无密码 SSH 认证是一项强大的安全特性，它使你无需每次都输入密码就能访问远程 Linux 系统。通过使用公私钥对，你可以在本地机器和远程服务器之间建立一种信任关系，从而提供一种更安全、高效的远程访问方式。本教程涵盖了生成密钥对、将公钥复制到远程服务器以及测试无密码连接的步骤。实现无密码 SSH 认证可以显著提高你的 Linux 环境的安全性和自动化能力。